配置如下:
一般我们配置的时候,都是会先建立DHCP服务器啊,开启这个DHCP服务:service dhcp ,就OK 了。下面就是根据要求建立各个不同的DHCP POOL 。并且设置好IP地址的分配范围,网关,DNS服务器,租赁时间这些经常使用的配置信息。然后下面服务器建设好了,就是为这个服务器的安全着想了,开启这个安全特性,在全局配置模式下利用命令:ip dhcp snooping vlan [id] ,意思是说在某个特性的vlan 或者某些vlan中使用这个特性,在这个特性中,牵涉到俩个概念:信任端口和非信任端口。使用了这个特性后,我们就可以设置这些端口上的接收DHCP包的速率,默认的情况下是不做任何限制的。对于非信任接口,我们建议的速度上限为100,而对信任接口,我们想尽量的增加点。如果超速了,就会被认为是***了,那怎么办呢?端口就会进入到errdiable状态,这样的话就可以防止DOS***了。这个时候呢,因为牵涉到了端口在发现这种类似的***的时候,采取了进入errdisable状态,所以呢,我们得设定一下:在什么情况下,可以让端口从errdisable状态下恢复到转发状态。一般有两种方式:手动的和自动的。手动的就是shutdown和 no shutdown 。这样的就OK 了。自动的就是设置那个超时的时间:全局模式下-----errdisable recovery interval [value] 。这里牵涉到的这个errdisable ,以后还会详细的进行叙述,也算是一种对网络的保护手段,就是当触犯了什么条件的时候,端口就会进入到这个状态,当然了,我们还得让这个端口回到正常的状态,这样一来还得实施恢复状态的命令。
启用这个errdisable 的检测:errdisable detec cause [具体的导致原因,也可以全部启用]
对于这个功能的启用,有的特性是默认使用这种对端口的处理方式的。
启用这个errdisable 的恢复机制:errdisable recovery cause [具体的导致原因]
或者errdisable recovery interval [value]
或者 手动搞定!!!
对于上面我们讲述的这个特性,有些应用对故障的处理方式就是默认的这种,而有的却不是,但是我们可以进行设置,利用命令:errdisable detection cause _____ 。当然了,这样一来,我们就得设备这种故障的恢复手段了,自动也行,手动也罢。
昨晚,重新看了下DHCP Snooping特性和DAI。有了更加清晰的认识。
对于启用snooping特性的设备、VLAN来说,这些这个设备或者这个VLAN就会对经过的DHCP报文,进行侦听。在这个特性中,我们说是可以把特定的端口设置为信任的口或者非信任的端口。对于信任的端口,无论是那种类型的DHCP报文,都会让他通过。如果是在一个非信任端口上接收到DHCP报文的话,交换机就会对目的MAC地址和DHCP客户端的地址进行比较,如果符合规则就OK ,否则就丢弃掉。这个包如果是DHCP请求包的话,那目的MAC是广播的,肯定会允许的了。如果是非DHCP请求包的话,那就算是属于DHCP回应包的范畴了,如果这样一来的话,那这个报文的目的MAC地址肯定就必须得是DHCP服务器的MAC地址了。这个时候,交换机就会检查这个数据报的目的MAC地址和DHCP客户端的地址(说的也就是查看DHCP 绑定表中的客户端的地址),如果对的话,那就说明是合法的DHCP服务器,如果不对的话,那就是非法的DHCP服务器咯。并且,我们在设计的时候,除了连接DHCP服务器的端口设置为信任口,其他的口都设置为非信任口的,并且非信任口是丢弃、不转发dhcp offer报文的。所以呢,这个非信任口下的设备开启了DHCP服务,想做个冒牌的DHCP服务器,也是成功不了的啊~~~因为即使你开启了这个DHCP服务,你可以接收到那些DHCP请求包了,但是第一个回合的DHCP OFFER就从这个端口中发不出去。这样的话,这个通过DHCP获取IP地址就是不完整的,就获得不了IP 了,这个冒牌的DHCP服务器就不OK了。同时,我们设置了俩种不同类型的端口,其中每种类型的端口都可以进行速度的限制。